風險管理是維護企業經營的重要環節,本公司正視風險的存在,更致力執行降低風險的各項政策與措施,以此為利害關係人創造永續價值,並創造公司營運機會。為有效強化風險管理,長期關注產業趨勢及市場變動,掌握風險變化趨勢,並針對重大潛在風險情境進行管控策略與作法之擬定,定期確認與追蹤檢核成效,在可接受風險之狀況下,追求管理成本效益最佳化 。
本公司及各子公司在從事營運活動時,應從企業永續經營的角度審慎檢視內外部可能之風險,依循本公司「風險管理政策與程序」訂定相關作業規範,以辨識、衡量、控制及監督各項業務之潛在風險、落實風險管理機制之運作,提昇風險管理分工之效能。
本公司訂有環安衛管理制度及環安衛政策,並於全公司及各廠區設置職業安全衛生委員會,其風險評估項目包括:職業安全衛生、自動檢查、作業環境監測、危害物管理、溫室氣體排放政策與管理、資源管理、災害應變演練及教育訓練等。
本公司透過永續發展委員會,負責整合全公司風險,並透過業務、各廠區製造單位、研發、安衛管理、財管、資材、品質、人力資源、資訊等單位及法務與稽核之參與,針對公司內外部發生潛在損失的可能性與可能的幅度進行風險認知與鑑別分析,進而達到避免潛在的損失危險、預防損失或降低損失幅度等風險控制,以落實分權分責之風險控制與稽查管理。
針對整體風險的辨析、預防及監控或重大風險管控議題,每年至少一次向董事會呈報具體推動計畫與實施成效執行情形,透過董事會的監督與指導,落實防範公司重大風險,以確保公司「計劃、執行、檢查與行動」之管理循環,使運作有效達成風險控管之效益。
本公司風險管理範疇包括但不限於營運風險、市場風險、環安衛風險、財務風險、人力資源風險、資安風險與其他可能使公司產生重大損失之風險,並持續關注國內外風險發展情事以掌握風險趨勢,辨識新興風險。
本公司風險管理流程包括:風險範疇辨識、風險分析衡量、風險改善監控、風險報告與揭露。
| 風險類別 | 關注重點 | 因應策略 |
|---|---|---|
| 業務風險 | 市場競爭及產品策略 | 聚焦與收斂產品組合,以有限的資源做最佳的配置,並發展高價值產品提高產品競爭優勢。強化市場資訊的蒐集以發展新技術及開拓新客戶、並透過策略結盟與合作積極推動新業務。 |
| 庫存呆料風險 | 加強客戶溝通與監控機制,掌握市場供需趨勢。強化内部產銷協調機制及供應鏈交期,即時反應與調整,降低呆料風險。 | |
| 製造風險 | 斷料風險 | 建立永績供應鏈夥伴關係,並依客戶需求審慎並積極開發Second Source。 |
| 停水斷電風險 | 建立備用水池及緊急發電機,以維持工廠營運不中斷。 | |
| 關鍵人才流失風險 | 透過公司激勵獎勵制度,留住關鍵人才。 | |
| 設備停機風險 | 建立預防保養機制,對關鍵設備零件,建立安全庫存。 | |
| 研發風險 | 技術開發 | 掌握市場趨勢提前布局新產品與核心技術應用開發,並確保研發速度與成本控管。 |
| 智慧財產權 | 建立智慧財產權保全與管理規範、持續激勵員工創新研發、防範智慧財產權侵權風險。 | |
| 人力資源風險 | 關鍵人才流失 | 制定人才留任計畫,確保公司營運與人才發展的永續性。 |
| 人權風險 | 遵守各國法令並依據責任商業聯盟(Responsible Business Alliance, RBA) 準則之規範,保障員工人權。 | |
| 環安衛風險 | 災害風險 | 建立環安衛管理系統與作業程序標準化,並定期舉行消防疏散演練及各類教育訓練。 |
| 環境及氣候變遷 | 持續進行溫室氣體盤查與推動節能措施。 | |
| 法規變更 | 掌握並遵守各項法規規範與國際準則,確保公司各項環保政策與規範符合法規規範。 | |
| 財務風險 | 稅務風險 | 關注國際稅改趨勢與當地稅務政策變動,並評估各項業務模式可能產生之稅務風險。遵循稅務法規,正確計算稅賦繳納稅款與稅局保持開放良好的溝通關係。 |
| 信用風險 | 依據公司信用管理規章及客戶財務狀況,掌握客戶信用額度。 | |
| 匯率風險 | 掌握外匯市場趨勢,密切觀察外幣匯率變化。 | |
| 資訊風險 | 資訊系統異常 | 建置硬體備援與資料備份機制,並持續監控與偵測系統,強化各項異常通報管理。 |
| 機密資料洩露 | 強化資安管理與防火牆安全,並於公司內持續宣導資安觀念。 |
| 課程內容 | 2023年受訓人次 | 受訓總時數 |
|---|---|---|
| 環境安全衛生教育訓練 | 23,373 | 70,119 |
| 資訊安全規範、規劃與設備環境介紹 | 420 | 150 |
| 基礎法務知識 | 126 | 44 |
.png)
本公司定期審視內部資訊安全規範,並於「資訊安全委員會」中報告資訊安全治理概況。本公司亦遵從NIST資訊安全框架,評估資訊安全威脅與影響,制定安全措施提升整體資訊安全環境。
資訊安全重點評估如下 :
檢查關於持續營運所採取的相關措施之妥適性,檢查架構與維運機制是否存在單點失效之風險,以及針對業務持續運作進行風險分析,並提出資訊架構安全評估之結果與建議。
查看網路設備系統及伺服器之存取紀錄,帳號權限之授予是否符合規範;清查識別異常紀錄與確認警示機制。
定期針對外部網站、網路設備及伺服器等設備進行弱點掃描,並針對掃描結果進行改善及修補,降低整體資安風險。
檢視伺服器(如:網域服務Active Directory)關於「Admin權限」與「群組原則派發」之異動事件,查看相關異動是否異常。
面對資安威脅制定緊急應變計畫,定期演練,以驗證相關計畫內容之可行性與有效性。確保遇到資安事件,各單位人員可依緊急計畫進行應變操作,達到全公司各單位共同落實資安防範之效果。
針對公司同仁,於內部安全監控範圍內,寄發演練郵件,測試、宣導及強化資通安全教育。演練目標主要在於讓同仁了解使用電子郵件之風險,提高同仁防範社交工程攻擊之危機意識,持續演練以降低社交工程攻擊所造成的風險,達到保護客戶資料及重要營運資訊與服務之目的。
111年加入台灣CERT/CSIRT聯盟,提升資安情資蒐集、交換及分析能力,瞭解各類型資安威脅與弱點資訊,針對可能的威脅進行有效預防措施,加強公司整體資安防護能力。
● 本年度依規範定期執行系統還原演練、社交工程演練及資安事件演練,加強員工對於資訊安全之應變與警覺性。